/ / ARP Poisoning Attack là gì và bạn có thể ngăn chặn nó như thế nào?

ARP Poisoning Attack là gì và bạn có thể ngăn chặn nó như thế nào?

Việc có một hệ thống phòng thủ an ninh mạng duy nhất không đảm bảo an ninh toàn diện khi tin tặc tiếp tục nghĩ ra những cách mới để vượt qua. Họ hiểu rằng việc tung ra các cuộc tấn công trực tiếp không còn hiệu quả nữa vì các cơ chế bảo mật tiên tiến có thể dễ dàng phát hiện ra chúng. Ẩn đằng sau các mạng hợp pháp thông qua các kỹ thuật như tấn công đầu độc ARP giúp công việc của họ dễ dàng hơn.


Với việc đầu độc ARP, tội phạm mạng có thể chuyển hướng địa chỉ IP của bạn và chặn thông tin liên lạc của bạn khi đang chuyển tiếp mà bạn không hề hay biết. Đây là cách thức hoạt động của phương pháp tấn công này và cách bạn có thể ngăn chặn nó.


Tấn công đầu độc ARP là gì?

Giao thức phân giải địa chỉ (ARP) là một quy trình kết nối liên kết địa chỉ Giao thức Internet (IP) với địa chỉ vật lý tĩnh của Điều khiển truy cập phương tiện (MAC) qua Mạng cục bộ (LAN). Vì địa chỉ của IP và MAC có các thành phần khác nhau nên chúng không tương thích. ARP dung hòa sự khác biệt này để đảm bảo rằng cả hai phần tử đều đồng bộ. Nếu không, họ sẽ không nhận ra mình.

Tấn công đầu độc ARP là một quá trình theo đó kẻ xâm nhập gửi nội dung độc hại qua Mạng cục bộ (LAN) để chuyển hướng kết nối của một địa chỉ IP hợp pháp đến địa chỉ MAC của chúng. Trong quá trình này, kẻ tấn công thay thế địa chỉ MAC ban đầu sẽ kết nối với địa chỉ IP, cho phép chúng truy cập các tin nhắn mà mọi người gửi đến địa chỉ MAC xác thực.

Tấn công ARP Poisoning hoạt động như thế nào?

Người đàn ông mặc áo hoodie cầm điện thoại thông minh

Một số mạng có thể hoạt động trên Mạng cục bộ (LAN) cùng một lúc. Mỗi mạng đang hoạt động có một địa chỉ IP cụ thể dùng làm phương tiện nhận dạng và phân biệt nó với các mạng khác. Khi dữ liệu từ các mạng khác nhau đến cổng, ARP sẽ sắp xếp chúng cho phù hợp, vì vậy mỗi mạng sẽ đi thẳng đến đích đã định.

Kẻ tấn công tạo và gửi một thông báo ARP sai đến hệ thống được định hình. Họ thêm địa chỉ MAC của họ và địa chỉ IP của mục tiêu trong tin nhắn. Khi nhận và xử lý thông báo ARP sai, hệ thống sẽ đồng bộ hóa địa chỉ MAC của kẻ tấn công với địa chỉ IP.

Khi mạng LAN kết nối địa chỉ IP với địa chỉ MAC của kẻ xâm nhập, kẻ xâm nhập bắt đầu nhận tất cả các thông báo dành cho địa chỉ MAC hợp pháp. Họ có thể nghe trộm thông tin liên lạc để lấy dữ liệu nhạy cảm trong trao đổi, sửa đổi thông tin liên lạc bằng cách chèn nội dung độc hại để hỗ trợ ý định của họ hoặc thậm chí xóa dữ liệu đang truyền để người nhận không nhận được.

Các loại tấn công đầu độc ARP

Tội phạm mạng có thể khởi chạy các cuộc tấn công ARP theo hai cách: Giả mạo và Đầu độc bộ nhớ cache.

Giả mạo ARP

Giả mạo ARP là một quá trình trong đó tác nhân đe dọa giả mạo và gửi phản hồi ARP tới hệ thống mà chúng đang nhắm mục tiêu. Một câu trả lời giả mạo là tất cả những gì kẻ xâm nhập phải gửi cho hệ thống được đề cập để thêm địa chỉ MAC của nó vào danh sách trắng. Điều này làm cho việc giả mạo ARP dễ dàng thực hiện.

Những kẻ tấn công cũng sử dụng giả mạo ARP để thực hiện các loại tấn công khác, chẳng hạn như chiếm quyền điều khiển phiên trong đó chúng chiếm lấy các phiên duyệt web của bạn và tấn công Man-in-the-Middle trong đó chúng chặn liên lạc giữa hai thiết bị được kết nối với mạng.

Ngộ độc bộ đệm ARP

Đầu độc trong kiểu tấn công ARP này bắt nguồn từ việc kẻ tấn công tạo và gửi nhiều phản hồi ARP giả mạo tới hệ thống mục tiêu của chúng. Họ làm điều này đến mức khiến hệ thống tràn ngập các mục nhập không hợp lệ và không thể xác định được các mạng hợp pháp của nó.

Kỹ thuật tội phạm mạng gây ra hỗn loạn giao thông sẽ nắm bắt cơ hội để chuyển hướng các địa chỉ IP sang hệ thống của chính chúng và chặn các liên lạc đi qua chúng. Các tác nhân đe dọa sử dụng phương pháp tấn công ARP này để tạo điều kiện thuận lợi cho các hình thức tấn công khác như Từ chối dịch vụ (DoS), trong đó chúng làm tràn ngập hệ thống đích bằng các thông báo không liên quan để gây tắc nghẽn giao thông và sau đó chuyển hướng các địa chỉ IP.

Làm thế nào bạn có thể ngăn chặn một cuộc tấn công đầu độc ARP?

người phụ nữ lo lắng trên máy tính xách tay

Các cuộc tấn công đầu độc ARP có tác động tiêu cực đến hệ thống của bạn, chẳng hạn như mất dữ liệu quan trọng, ảnh hưởng đến danh tiếng của bạn do dữ liệu nhạy cảm của bạn bị lộ và thậm chí cả thời gian ngừng hoạt động nếu kẻ tấn công can thiệp vào các yếu tố điều khiển mạng của bạn.

Nếu bạn không muốn phải chịu bất kỳ hệ lụy nào ở trên, dưới đây là những cách để ngăn chặn các cuộc tấn công nhiễm độc ARP.

1. Tạo bảng ARP tĩnh

Công nghệ ARP không thể tự động xác thực địa chỉ IP hợp pháp bằng địa chỉ MAC của chúng. Điều này giúp tội phạm mạng có cơ hội giả mạo các phản hồi ARP. Bạn có thể khắc phục lỗ hổng này bằng cách tạo một bảng ARP tĩnh nơi bạn ánh xạ tất cả các địa chỉ MAC xác thực trên mạng của mình tới các địa chỉ IP hợp pháp của chúng. Cả hai thành phần sẽ chỉ kết nối và xử lý các địa chỉ phù hợp của chúng, loại bỏ cơ hội cho những kẻ tấn công kết nối địa chỉ MAC của chúng với mạng.

Xây dựng các bảng tĩnh ARP liên quan đến rất nhiều công việc thủ công khiến nó tốn thời gian. Nhưng nếu bạn nỗ lực, bạn sẽ ngăn chặn được một số cuộc tấn công đầu độc ARP.

2. Triển khai Kiểm tra ARP động (DAI)

Kiểm tra ARP động (DAI) là một hệ thống bảo mật mạng xác minh các thành phần ARP có trên mạng. Nó xác định các kết nối có địa chỉ MAC bất hợp pháp đang cố chuyển hướng hoặc chặn các địa chỉ IP hợp lệ.

Kiểm tra DAI kiểm tra tất cả các yêu cầu địa chỉ ARP MAC-to-IP trên hệ thống và xác nhận rằng chúng hợp pháp trước khi cập nhật thông tin của chúng trên bộ đệm ARP và chuyển chúng đến đúng kênh.

3. Phân đoạn mạng của bạn

Những kẻ tấn công thực hiện các cuộc tấn công đầu độc ARP, đặc biệt là khi chúng có quyền truy cập vào tất cả các khu vực của mạng. Phân đoạn mạng của bạn có nghĩa là các thành phần khác nhau sẽ ở các khu vực khác nhau. Ngay cả khi kẻ xâm nhập giành được quyền truy cập vào một phần, vẫn có giới hạn đối với quyền kiểm soát mà họ có thể do một số phần tử không có mặt.

Bạn có thể củng cố bảo mật của mình bằng cách tạo bảng ARP tĩnh cho từng phân đoạn mạng của mình. Bằng cách đó, tin tặc sẽ khó đột nhập vào một khu vực hơn, chứ chưa nói đến tất cả các khu vực.

4. Mã hóa dữ liệu của bạn

tội phạm mạng

Mã hóa có thể không có nhiều tác động trong việc ngăn chặn tin tặc xâm nhập vào mạng của bạn bằng các cuộc tấn công đầu độc ARP, nhưng nó sẽ ngăn chúng sửa đổi dữ liệu của bạn nếu chúng nắm giữ dữ liệu đó. Và đó là vì mã hóa dữ liệu ngăn những kẻ xâm nhập đọc nó mà không có khóa giải mã hợp lệ.

Nếu những kẻ tấn công đánh cắp dữ liệu từ một cuộc tấn công đầu độc ARP là vô ích đối với chúng do mã hóa, thì chúng không thể nói rằng cuộc tấn công của chúng đã thành công.

Ngăn chặn các cuộc tấn công đầu độc ARP bằng xác thực

Các cuộc tấn công đầu độc ARP phát triển mạnh khi không có tham số nào để bảo vệ kết nối mạng của bạn khỏi sự xâm nhập. Khi bạn tạo danh sách trắng gồm các mạng và thiết bị để phê duyệt, các mục không có trong danh sách sẽ không vượt qua kiểm tra xác thực và sẽ không thể vào hệ thống của bạn.

Tốt hơn là ngăn chặn các tác nhân đe dọa xâm nhập vào hệ thống của bạn hơn là xử lý chúng khi chúng đã ở trong đó. Chúng có thể gây ra thiệt hại nghiêm trọng trước khi bạn có thể ngăn chặn chúng.

Bài viết liên quan:

  1. Bạn nên mua cái nào?
  2. 4 trình đọc RSS miễn phí tốt nhất
  3. Stablecoin được hỗ trợ bằng vàng là gì?
  4. Google sẽ hết dung lượng lưu trữ?

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *